bon, en fait, tu as marché en plein dedans. Va nettoyer tes chaussures, sinon madame va pas être contente.
Ca serait sympa d'expliciter.
Car le journal et le commentaire parlent d'Ubuntu One (qui n'est pas du backup à la rsync).
Je donne donc une solution de backup.
Justement, ça parle de synchro (" j'ai pas besoin tous les 2 jours de me demander pourquoi tel fichier n'a pas été synchronisé"), pas de backup.
Mettons donc les blagues que je n'ai pas compris à part, peux-tu expliquer ta pensée? Car pour le moment, on a juste l'impression que tu ne sais pas de quoi tu parles. Je ne dis pas que tu ne sais pas, je dis juste que c'est l'impression que tu donnes (encore plus avec ton nouveau commentaire qui parle de backup). Enlevons les blagues que je ne comprend pas, explique!
Et si on parle aussi de partage de fichier : rsync pour la synchro, et apache + Options Indexes + .htaccess + .htpassword pour le partage.
Lol. Déjà, tu as perdu 99% de la population d'Ubuntu One (et en plus, je suis curieux que tu m'expliques comment marhce ton partage de fichier avec ça : j'écris fichier 1 sur PC1, fichier2 sur PC2, tu me garantis que 2 minutes plus tard j'ai fichier1 et fichier2 sur PC1 et Pc2 avec ta solution? J'avoue que connaissant rsync et apache, je ne vois pas comment ça marche).
Et le tout avec juste quelques clics pour la mise en place, évidement (j'ai du mal à voir les quelques clics).
Explique, montre que tu connais.
(Ou alors, c'était juste pour plaisanter par le ridicue de la proposition? OK, j'ai marché dedans dans ce cas, mais des fois des gens sont sérieux en sortant ça)
Il faudrait sérieusement au moins essayer une fois les produits comme Owncloud, Ubuntu One ou Dropbox, pour savoir de quoi il est parlé.
Parce que de rsync comme alternative est surtout montrer sa non connaissance des outils discutés, ça fait passer pour ridicule plus qu'autre chose.
rsync est un très bon produit. Pour ce à quoi il est déstiné. C'est à dire certainement pas comme alternative à Owncloud.
La question est : si quelqu'un le traduit en anglais, vas-tu le refuser car ce n'est pas l'auteur original qui a fait la traduction?
Car on parle de ça.
Ah oui, c'est tellement facile de se cacher des faits :
- Je n'ai pas parlé d'accepter un patch en chinois, je l'ai dit plusieurs fois, au début on peut se tromper, à force c'ests un mensonge voulu pour un but.
- Personne ne trouve utilité à traduire le patch car personne ne pense que le sujet du patch est la priorité
Ici, la conclusion est que personne ne pense que la sécurité dans Linux ne vaut le coup (qui doit pas être simple, certes) de travailler sur l'inclusion des améliorations développées par un autre, que ce soit "traduire" dans un format acceptable ou en prendre les idées.
Bref, ne surtout pas contre-argumenter sur ce que je dis, il faut croire qu'il n'y a rien à contre-argumenter dessus vu qu'on parle d'autre chose. Merci, je prend cette fuite comme un compliment.
C'est effectivement sa faute si il ne veut pas développer lui-même, mais sur ça, c'est sa faute pour beaucoup de choses.
Je ne remet pas en cause sa politique d'acceptation de patch.
Je recite donc en entier la phrase à laquelle je répond :
Après, si personne ne s’est dévoué pour le faire, ou si personne n’a payé quelqu’un pour le faire, c’est pas la faute à Linus.
Par curiosité, cite une personne qui dit que c'est la faute à Linus.
Par curiosité, cite une personne qui dit que c'est la faute à Linus.
Donc tout le monde est content.
Mais il y en a quand même pour sortir "ce gars ferait mieux de", ce à quoi je répondais. Ah c'est idiot, je ne critiquais pas Linus, mais l'auteur de cette phrase… Mais tu évites de parler de ça et parle de Linus je ne sais pourquoi. Du coup tout ce que tu réponds est HS.
hum, bon je m'arrête ("tout le monde" sera content, facile tout le monde), c'est trop dans l'invention d'attaques que je n'ai pas faites pour ne pas me répondre sur ce que je dis.
c'est comme ca que cela marche dans le developement du kernel linux.
On est bien d'accord : il fait être dans la ligne du parti ou pas.
(sinon, je ne vois pas la perte si c'est une autre personne qui découpe c'est même mieuxça fait 2 personne qui ont vu le code, mais bon, c'est la règle du parti et pas de critique de ce point ne semble autorisé)
mais du coup il perd le droit de critiquer quoi que ce soit dans le kernel.
Ah ah ah
Voila donc : si on n'est pas du parti, on n'aurait pas le droit.
Il a tout à fait le droit, ne t'en déplaise, et il ne se gène pas d'ailleurs. Ce droit, ni toi ni les mainteneurs ne peuvent lui enlever, dommage.
Merci pour cette grande preuve de tolérance (et après on critique le monsieur, ha ha ha)
Non, la, c'est juste que la sécrité n'est pas le plus important, c'est tout (ce n'est pas un mal, chacun ses priorités), sinon quelqu'un s'y collerait (pas la peine de reprendre le code de GrSecurité, suffit de reprendre les idées), pas le peine de le cacher sous 36 excuses pour s'auto-convaincre que son dieu est le meilleur (parce que la, c'est du religieux, le journal était lui plus neutre).
La sécurité se passe mieux quand c'est transparent.
Pas en "transparence quoi qu'il arrive, allez hop je te file le code soure à tous" (full disclosure). vieux débat.
chacun son façon de penser sans doute…
Publier la faille (le code source de l'exploit) ne va mettre en danger quiconque.
Si, si c'est fait de manière non contrôlée.
C'est mieux de ne pas publier que de publier en full disclosure.
Après, c'est mieux de faire du responsible disclosure, mais je comprend aussi que cette personne essaye de vivre de son travail.
Je suis sûr que si tu sponsorises le monsieur, il te filera son code.
Mais demander au gars de tuer son gagne-pain pour tes beaux yeux est un peu du foutage de gueule. J'attend de voir une politique de récompenses comme le font Google ou Microsoft pour les failles de sécurité. Si la sécurité est importante, on incite les gens à faire part de leur trouvailles, à en vivre de de leur travail, pas à leur demander de faire du travail gratos pour eux.
Désolé de comprendre le monsieur et ne pas charger qu'un côté pour le plaisir de charger.
Un homme unique, irremplaçable, donc.
Rien que ça.
Le plus gros du travail est fait (le gros des compétances est de coder un truc utile à la sécurité), si personne d'autre n'est capable d'analyser et comprendre le code ajouté au noyau, ho ho…
(faut arrêter le délire : je comprend parfaitement que les gens qui ont les compétences pour analyser et découper le patch n'ont aucune envie de le faire car pas leur priorité, comme je comprend que personne n'ai envie de payer pour plus de sécurité quand GrSecurité est la gratos, mais il faut pas me sortir des excuses comme quoi tous les autres sont super incompétants en lecture de code source et compréhension de comment un logiciel fonctionne. Faut arrêter de chercher de fausses excuses et accepter le constat : ce n'est pas la priorité, c'est tout. Pourquoi donc chercher à le cacher?).
Si il faut détailler précisement : je répond à cette phrase pourrie "il ferait mieux d'apprendre à communiquer avec les développeurs".
Ah oui, désolé de ne pas penser qu'il ferait mieux de, de juger les gens qui ne font pas comme si comme ça.
Je n'ai rien contre la politique de Linus (qui est même plutôt normale), mais comme d'hb : si tu n'es pas à 100% avec moi, tu es contre moi. Triste.
Non, juste que ça me fait sourire de voir les adorateurs du dieu Linux sortir des arguments ou laisser le autres les sortir, pour les oublier quand ça n'arrange pas.
Encore une fois, tu évites le sujet et parle de Linus dont je n'ai pas parlé. Je parle de toi (par exemple).
Par "tout le monde" j'entends "les gens impliqués dans le développement de Linux".
Ah oui, OK, donc tout le monde qui est dans le parti est d'accord pour dire que la personne pas dans le parti n'est pas bien.
Merci d'énoncer l'évidence. Ca montre beaucoup de chose sur la considération que tu as des gens qui ne sont pas en phase avec le parti.
Tu as le droit de considerer que Linus Torvalds ne sait pas manager un developement de kernel
Je n'ai pas dit ça, j'ai rien dit à ce sujet même! J'ai parlé uniquement de ceux qui critiquent gratuitement une personne, mais bon, comme tu ne veux pas parler de ça… Hop, parlons d'autre chose, inventons des critiques à critiquer, c'est plus simple.
Merci pour la démonstration.
Je croyais que la politique de Linux était de refuser les patchs introduisant des régressions?
Hop encore un mythe qui s'en va… (ok, je pousse, si c'est optionel et désactivé par défaut il n'y a pas de régression, juste un coût à payer si on veut une fonctionnalité, c'est un choix à faire en connaissance de cause et sur les serveurs on s'en fout un peu de l'hibernation donc ça va)
Questions idiote : c'est optionel? désactivé par défaut?
Et cela n'a absolument rien à voir avec la nécessité de faire des compromis entre plusieurs buts contradictoires.
Ben tu viens de dire le contraire (pour Microsoft, le Time to Market était contradictoire avec une plus grande sécurité à l'époque), CQFD.
Donc évoquer Microsoft comme tu le fais n'a aucun sens à part le plaisir d'agiter un chiffon rouge pour faire dérailler la conversation.
désolé de te donner des exemples où on voit que les arguments dépendent de qui est défendu. Mais je sais, je touche au dieu Linux…
Tout le monde lui reproche son attitude infecte
Faux, je peux le prouver : je ne lui reproche rien du tout et le remercie de faire ce qu'il fait, ce qui rend par définition de "tout le monde" ta phrase fausse.
Mais je sais, c'est un grand classique de transformer "quelques personnes" en "tout le monde" pour mieux faire croire qu'on a que des gens d'accord avec soit, en ignorant volontairement les gens qui ne pensent pas pareil. Ce genre de discours "tout le monde pense comme moi" se retrouve très souvent en politique aussi.
Pourquoi le serais-je? J'ai GrSecurity la, dispo.
Mais si tu me payes, je peux être volontaire.
Super tu es volontaire?
Question de priorité. On est donc d'accord que la sécurité n'est pas une priorité. C'est un choix.
Tu fais peut-être exprès de ne pas comprendre, j'essaye de tourner ça autrement : c'est faux-cul d'accuser Brad Spengle de ne pas le faire quand en fait on peut le faire soit-même et qu'on ne le fait pas, il y a toujours des bien pensants pour dire que que les autres doivent faire. Ma critique va envers les gens qui reprochent à Brad Spengle de ne pas faire ce que eux peuvent faire. La critique est facile, se bouger est plus difficile.
Bref, je critique simplement ceux qui critiquent gratuitement Brad Spengle parce qu'il n'est pas comme ils souhaitent.
Sauf que Spender est un maximaliste qui ne pense qu'à la sécurité et se fiche de tout le reste (perfs, portabilité, etc). Les mainteneurs du noyau eux doivent faire des choix et des compromis.
Tiens, c'est exactement ce que disait Microsoft et il était super critiqué par nombre de Linuxiens comme quoi la sécurité n'était pas prise au sérieux.
Bon, il faut croire qu'en fait, la sécurité n'est pas le plus important, des deux côtés (Linux et Microsoft), faudrait donc parfois un peu arrêter de taper sur Microsoft, tu viens de dire que tu aimes la politique de Microsoft en termes de sécurité, j'espère que tu défendra la politique de sécurité de Microsoft la prochaine fois qu'un Linuxien tapera dessus en oubliant que pour son noyau préféré c'est la même politique.
Dans l'article LWN dédié on comprend bien que KASLR n'est pas une solution miracle mais que ça apporte quand même des bénéfices non nuls en terme de sécurité et sans aucune dégradation des perfs.
Le problème avec la sécurité est que plus tu ajoutes du code, plus tu as des risques de bug qui ajoutent des trous quand tu pensent protégér. "Non nuls" ne suffit pas, il faut que ça vaille le coup par rapport au risque d'introduction de nouvelles failles. Reste à savoir si ça vaut le coup, et la tout le monde n'est pas d'accord…
Un peu facile de taper sur une personne qui a le malheur de ne pas rentrer dans le moule "gentil qui fait tout comme les mainteneurs upstream et/ou certains utilisateurs attendent". Reste que son noyau patché a un certain succès. Vive le libre et sa possibilité de choisir des choses différentes.
Cela demande du boulot mais bon la regle du jeu est la meme pour tout le monde.
Yep, et comme GrSecurity est libre, tout le monde peut faire le travail.
Pourquoi l'accuser lui, c'est obligatoire de commiter upstream?
Si Linux est troué (ou du moins pas au top de la sécurité) faute de patchs à la GrSecurity c'est la faute de tout le monde, qui est capable de faire le boulot.
Reste à savoir si ça interesse du monde, il faut croire que non. Donc reste GrSecurity en attendant, qui lui est disponible la maintenant (on doit faire un choix entre la source qui est toujours super à jour mais sécurité moyenne et GrSecurity qui est pas toujours à jour mais pour le noyau des versions stables des plus grosses distro donc ça va encore pour les machine de prod - et sécurité renforcée)
Les bandes magnétiques genre LTO sont assez fiables.
Au cas où tu n'as pas suivi : je parlais que les admins trouvent parfois autant d'excuses bidons que les utilisateurs qu'ils critiquent comme ayant des excuses bidons.
Au lieu d'écrire un framework pour écrire des exploits noyau,
C'est quand même utile pour vérifier que le noyau est sûr.
il ferait mieux
Qui dit que c'est mieux? Toi? Est-ce obligatoire? Ou est la liberté?
à communiquer avec les développeurs pour faire entrer ses grosses modifications GRSecurity dans le noyau.
Pourquoi?
C'est libre, tout le monde peut faire le boulot, si ce n'estp as fait c'est que pas foule du côté des développeurs Linux n'est vraiment interessé par son travail (il s'est déjà fait jeté), donc bon c'est dans les deux sens…
Publier une vidéo sur Youtube sans fournir aucune information ne fait pas avancer le schmiblick.
1/ Ca montre qu'il y un problème, et peut-être ça bouge le cul des dév'.
2/ C'est mieux que de publier le code source en 0-day. Ca sera sans doute patché par grsecurity, libre à chacun ensuite de savoir ce qu'il veut.
Sûrement pour se faire mousser et vendre son travail sur GRSecurity.
Sans doute.
Mais pour contre-balancer ton commentaire qui laisse un arrière-gout de négatif, je trouve ça au pire neutre, au pire pas mal, ça fait de la compétition avec quelque chose de différent que la pensée majorité des dév' Linux, et n'importe qui peut reprendre et améliorer ses modifs (vive le libre).
Ca OK. Mais je ne vois pas le rapport avec Bitcoin qui a reçu pas mal de regards rationels dessus.
C'est peut être pour cela que certains n'aiment pas bitcoin. La jalousie les aveugle.
Ou alors ils ont regardé les conséquences, et ceux qui adorent bitcoin traitent les autres d'aveugles plutôt que de regarder, c'est plus confortable.
Par rapport aux humains qui n sont pas rationels, en fait je vois un rapport : en effet, il y a des humains qui aiment Bitcoin contre toute rationalité.
Mais bon, les explications ont déjà été données 36x, les arguments pro-Bitcoin démontés autant de foix, on ne va pas revenir dessus, cf autres journaux.
Utiliser le réseau est en effet plus pratique, en général les raisons pour que ça ne soit pas possible sont:
Connexion trop lente pour envoyer la sauvegarde initiale (certain service propose de recevoir des disques durs)
Mais la une fois ça peut passer, je ne parlias pas de cette partie.
Connexion trop lente pour envoyer les incréments
De nos jours, avoir 1 Mbps en upload n'est pas inhabituel, ça fait 10 Go par jour soit 3 To/an.
Faut avoir de sacrés besoins de backup pour aller plus loin
Connexion trop lente pour récupérer les données dans un temps raisonnable
On revient dans le cas exceptionnel (comme l'init), moins dérangeant, pas le soucis.
Ce dont je parle, c'est du quotidien : non, au quotidien sa solution n'en est pas une car ce n'est pas un robot.
Prix au Go trop élevé à partir d'une certaine taille (même glacier te coûte grosso modo le prix d'un disque dur par an)
Ce qui est encore pas trop mal, c'est sûr qu'après si on veut pas y mettre de sous…
Ce qu'il propose est la seule autre alternative…
Avec un gros avertissement : se mettre un réveil tous les x jours et s'y tenir. Désolé de ne pas croire dans l'être humain, sans doute l'expérience ;-)
Oui, il y a un équilibre à trouver, je rappelle juste que dans 99% des cas, le choix du offline fait qu'en pratique au bout de quelques temps c'est comme si il n'y a plus de backups ou il faut se faire violence, à mettre aussi dans la balance, à prévenir quand on parle de ce genre de solution ce qui n'a pas été fait (on a l'impression que c'est une solution pas mal en lisant). Je préviens, après libre à voir de croire que vous serez différents de tous les autres qui ont fait ça.
Meilleur moyen pour ne jamais faire de sauvegarde.
Un moyen de sauvegarde n'est utile que si utilisé, et un moyen manuel est utilisé quelque fois puis flemme.
les hashs des n derniers mots de passe dans /etc/security/opasswd.
donc il ne détecte pas les mots de passe trop proches.
ca teste pas forcement les anciens mots de passe avec des variations,
Ha… Donc c'est quoi pour toi "trop proche"? Aucune variation ce n'est pas trop proche, c'est identique!
mais tout le monde est parti sur cette interpretation du post de maclag sans jamais lui demander s'il avait verifie que c'etait bien le cas sur l'historique et pas juste le dernier
Il a dit "trop proche", pas "les derniers mots de passe".
Désolé on a parlé de ce qu'il a parlé et non pas un hors sujet genre le truc classique, on connait des x derniers mots de passe dont il n'y a rien à dire car c'est hyper classique (pourquoi alors tu nous invite à regarder le code source d'un truc super classique?)
aller voir a la source comment la verification du mot de passe en cours et de l'historique n'est pourtant pas tres difficile.
Pour du libre, oui, pas pour des outils dont on n'a pas le code source (c'est évident, mais tu semble l'oublier en parlant de "pas très difficile" : si, ça l'est pour la plupart des logiciels gérant des mots de passe)
[^] # Re: Owncloud...
Posté par Zenitram (site web personnel) . En réponse au journal Canonical abandonne Ubuntu One. Évalué à 2. Dernière modification le 02 avril 2014 à 18:19.
Ca serait sypa d'expliciter.
Ca serait sympa d'expliciter.
Car le journal et le commentaire parlent d'Ubuntu One (qui n'est pas du backup à la rsync).
Justement, ça parle de synchro (" j'ai pas besoin tous les 2 jours de me demander pourquoi tel fichier n'a pas été synchronisé"), pas de backup.
Mettons donc les blagues que je n'ai pas compris à part, peux-tu expliquer ta pensée? Car pour le moment, on a juste l'impression que tu ne sais pas de quoi tu parles. Je ne dis pas que tu ne sais pas, je dis juste que c'est l'impression que tu donnes (encore plus avec ton nouveau commentaire qui parle de backup). Enlevons les blagues que je ne comprend pas, explique!
Lol. Déjà, tu as perdu 99% de la population d'Ubuntu One (et en plus, je suis curieux que tu m'expliques comment marhce ton partage de fichier avec ça : j'écris fichier 1 sur PC1, fichier2 sur PC2, tu me garantis que 2 minutes plus tard j'ai fichier1 et fichier2 sur PC1 et Pc2 avec ta solution? J'avoue que connaissant rsync et apache, je ne vois pas comment ça marche).
Et le tout avec juste quelques clics pour la mise en place, évidement (j'ai du mal à voir les quelques clics).
Explique, montre que tu connais.
(Ou alors, c'était juste pour plaisanter par le ridicue de la proposition? OK, j'ai marché dedans dans ce cas, mais des fois des gens sont sérieux en sortant ça)
[^] # Re: Owncloud...
Posté par Zenitram (site web personnel) . En réponse au journal Canonical abandonne Ubuntu One. Évalué à 10.
Il faudrait sérieusement au moins essayer une fois les produits comme Owncloud, Ubuntu One ou Dropbox, pour savoir de quoi il est parlé.
Parce que de rsync comme alternative est surtout montrer sa non connaissance des outils discutés, ça fait passer pour ridicule plus qu'autre chose.
rsync est un très bon produit. Pour ce à quoi il est déstiné. C'est à dire certainement pas comme alternative à Owncloud.
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à -10. Dernière modification le 02 avril 2014 à 15:10.
La question est : si quelqu'un le traduit en anglais, vas-tu le refuser car ce n'est pas l'auteur original qui a fait la traduction?
Car on parle de ça.
Ah oui, c'est tellement facile de se cacher des faits :
- Je n'ai pas parlé d'accepter un patch en chinois, je l'ai dit plusieurs fois, au début on peut se tromper, à force c'ests un mensonge voulu pour un but.
- Personne ne trouve utilité à traduire le patch car personne ne pense que le sujet du patch est la priorité
Ici, la conclusion est que personne ne pense que la sécurité dans Linux ne vaut le coup (qui doit pas être simple, certes) de travailler sur l'inclusion des améliorations développées par un autre, que ce soit "traduire" dans un format acceptable ou en prendre les idées.
Bref, ne surtout pas contre-argumenter sur ce que je dis, il faut croire qu'il n'y a rien à contre-argumenter dessus vu qu'on parle d'autre chose. Merci, je prend cette fuite comme un compliment.
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à -8.
C'est effectivement sa faute si il ne veut pas développer lui-même, mais sur ça, c'est sa faute pour beaucoup de choses.
Je ne remet pas en cause sa politique d'acceptation de patch.
Je recite donc en entier la phrase à laquelle je répond :
Hop, encore à côté. dommage…
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à -10. Dernière modification le 02 avril 2014 à 12:41.
Par curiosité, cite une personne qui dit que c'est la faute à Linus.
Mais il y en a quand même pour sortir "ce gars ferait mieux de", ce à quoi je répondais. Ah c'est idiot, je ne critiquais pas Linus, mais l'auteur de cette phrase… Mais tu évites de parler de ça et parle de Linus je ne sais pourquoi. Du coup tout ce que tu réponds est HS.
hum, bon je m'arrête ("tout le monde" sera content, facile tout le monde), c'est trop dans l'invention d'attaques que je n'ai pas faites pour ne pas me répondre sur ce que je dis.
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à -10. Dernière modification le 02 avril 2014 à 12:13.
On est bien d'accord : il fait être dans la ligne du parti ou pas.
(sinon, je ne vois pas la perte si c'est une autre personne qui découpe c'est même mieuxça fait 2 personne qui ont vu le code, mais bon, c'est la règle du parti et pas de critique de ce point ne semble autorisé)
Ah ah ah
Voila donc : si on n'est pas du parti, on n'aurait pas le droit.
Il a tout à fait le droit, ne t'en déplaise, et il ne se gène pas d'ailleurs. Ce droit, ni toi ni les mainteneurs ne peuvent lui enlever, dommage.
Merci pour cette grande preuve de tolérance (et après on critique le monsieur, ha ha ha)
Non, la, c'est juste que la sécrité n'est pas le plus important, c'est tout (ce n'est pas un mal, chacun ses priorités), sinon quelqu'un s'y collerait (pas la peine de reprendre le code de GrSecurité, suffit de reprendre les idées), pas le peine de le cacher sous 36 excuses pour s'auto-convaincre que son dieu est le meilleur (parce que la, c'est du religieux, le journal était lui plus neutre).
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à -6.
Et alors?
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à -7. Dernière modification le 02 avril 2014 à 11:43.
Pas en "transparence quoi qu'il arrive, allez hop je te file le code soure à tous" (full disclosure).
vieux débat.
chacun son façon de penser sans doute…
Si, si c'est fait de manière non contrôlée.
C'est mieux de ne pas publier que de publier en full disclosure.
Après, c'est mieux de faire du responsible disclosure, mais je comprend aussi que cette personne essaye de vivre de son travail.
Je suis sûr que si tu sponsorises le monsieur, il te filera son code.
Mais demander au gars de tuer son gagne-pain pour tes beaux yeux est un peu du foutage de gueule. J'attend de voir une politique de récompenses comme le font Google ou Microsoft pour les failles de sécurité. Si la sécurité est importante, on incite les gens à faire part de leur trouvailles, à en vivre de de leur travail, pas à leur demander de faire du travail gratos pour eux.
Désolé de comprendre le monsieur et ne pas charger qu'un côté pour le plaisir de charger.
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à -10.
Un homme unique, irremplaçable, donc.
Rien que ça.
Le plus gros du travail est fait (le gros des compétances est de coder un truc utile à la sécurité), si personne d'autre n'est capable d'analyser et comprendre le code ajouté au noyau, ho ho…
(faut arrêter le délire : je comprend parfaitement que les gens qui ont les compétences pour analyser et découper le patch n'ont aucune envie de le faire car pas leur priorité, comme je comprend que personne n'ai envie de payer pour plus de sécurité quand GrSecurité est la gratos, mais il faut pas me sortir des excuses comme quoi tous les autres sont super incompétants en lecture de code source et compréhension de comment un logiciel fonctionne. Faut arrêter de chercher de fausses excuses et accepter le constat : ce n'est pas la priorité, c'est tout. Pourquoi donc chercher à le cacher?).
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à 1.
Si il faut détailler précisement : je répond à cette phrase pourrie "il ferait mieux d'apprendre à communiquer avec les développeurs".
Ah oui, désolé de ne pas penser qu'il ferait mieux de, de juger les gens qui ne font pas comme si comme ça.
Je n'ai rien contre la politique de Linus (qui est même plutôt normale), mais comme d'hb : si tu n'es pas à 100% avec moi, tu es contre moi. Triste.
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à -10.
Non, juste que ça me fait sourire de voir les adorateurs du dieu Linux sortir des arguments ou laisser le autres les sortir, pour les oublier quand ça n'arrange pas.
Encore une fois, tu évites le sujet et parle de Linus dont je n'ai pas parlé. Je parle de toi (par exemple).
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à -10.
Ah oui, OK, donc tout le monde qui est dans le parti est d'accord pour dire que la personne pas dans le parti n'est pas bien.
Merci d'énoncer l'évidence. Ca montre beaucoup de chose sur la considération que tu as des gens qui ne sont pas en phase avec le parti.
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à 1.
Je n'ai pas dit ça, j'ai rien dit à ce sujet même! J'ai parlé uniquement de ceux qui critiquent gratuitement une personne, mais bon, comme tu ne veux pas parler de ça… Hop, parlons d'autre chose, inventons des critiques à critiquer, c'est plus simple.
Merci pour la démonstration.
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à -10. Dernière modification le 02 avril 2014 à 10:43.
Je croyais que la politique de Linux était de refuser les patchs introduisant des régressions?
Hop encore un mythe qui s'en va… (ok, je pousse, si c'est optionel et désactivé par défaut il n'y a pas de régression, juste un coût à payer si on veut une fonctionnalité, c'est un choix à faire en connaissance de cause et sur les serveurs on s'en fout un peu de l'hibernation donc ça va)
Questions idiote : c'est optionel? désactivé par défaut?
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à -10. Dernière modification le 02 avril 2014 à 10:39.
Ben tu viens de dire le contraire (pour Microsoft, le Time to Market était contradictoire avec une plus grande sécurité à l'époque), CQFD.
désolé de te donner des exemples où on voit que les arguments dépendent de qui est défendu. Mais je sais, je touche au dieu Linux…
Faux, je peux le prouver : je ne lui reproche rien du tout et le remercie de faire ce qu'il fait, ce qui rend par définition de "tout le monde" ta phrase fausse.
Mais je sais, c'est un grand classique de transformer "quelques personnes" en "tout le monde" pour mieux faire croire qu'on a que des gens d'accord avec soit, en ignorant volontairement les gens qui ne pensent pas pareil. Ce genre de discours "tout le monde pense comme moi" se retrouve très souvent en politique aussi.
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à 3.
Pourquoi le serais-je? J'ai GrSecurity la, dispo.
Mais si tu me payes, je peux être volontaire.
Question de priorité. On est donc d'accord que la sécurité n'est pas une priorité. C'est un choix.
Tu fais peut-être exprès de ne pas comprendre, j'essaye de tourner ça autrement : c'est faux-cul d'accuser Brad Spengle de ne pas le faire quand en fait on peut le faire soit-même et qu'on ne le fait pas, il y a toujours des bien pensants pour dire que que les autres doivent faire. Ma critique va envers les gens qui reprochent à Brad Spengle de ne pas faire ce que eux peuvent faire. La critique est facile, se bouger est plus difficile.
Bref, je critique simplement ceux qui critiquent gratuitement Brad Spengle parce qu'il n'est pas comme ils souhaitent.
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à -10. Dernière modification le 02 avril 2014 à 07:58.
Tiens, c'est exactement ce que disait Microsoft et il était super critiqué par nombre de Linuxiens comme quoi la sécurité n'était pas prise au sérieux.
Bon, il faut croire qu'en fait, la sécurité n'est pas le plus important, des deux côtés (Linux et Microsoft), faudrait donc parfois un peu arrêter de taper sur Microsoft, tu viens de dire que tu aimes la politique de Microsoft en termes de sécurité, j'espère que tu défendra la politique de sécurité de Microsoft la prochaine fois qu'un Linuxien tapera dessus en oubliant que pour son noyau préféré c'est la même politique.
Le problème avec la sécurité est que plus tu ajoutes du code, plus tu as des risques de bug qui ajoutent des trous quand tu pensent protégér. "Non nuls" ne suffit pas, il faut que ça vaille le coup par rapport au risque d'introduction de nouvelles failles. Reste à savoir si ça vaut le coup, et la tout le monde n'est pas d'accord…
Un peu facile de taper sur une personne qui a le malheur de ne pas rentrer dans le moule "gentil qui fait tout comme les mainteneurs upstream et/ou certains utilisateurs attendent". Reste que son noyau patché a un certain succès. Vive le libre et sa possibilité de choisir des choses différentes.
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à 4.
Yep, et comme GrSecurity est libre, tout le monde peut faire le travail.
Pourquoi l'accuser lui, c'est obligatoire de commiter upstream?
Si Linux est troué (ou du moins pas au top de la sécurité) faute de patchs à la GrSecurity c'est la faute de tout le monde, qui est capable de faire le boulot.
Reste à savoir si ça interesse du monde, il faut croire que non. Donc reste GrSecurity en attendant, qui lui est disponible la maintenant (on doit faire un choix entre la source qui est toujours super à jour mais sécurité moyenne et GrSecurity qui est pas toujours à jour mais pour le noyau des versions stables des plus grosses distro donc ça va encore pour les machine de prod - et sécurité renforcée)
Si Linux a des trous, c'est la faute de tous.
[^] # Re: Il faut savoir en rire ....
Posté par Zenitram (site web personnel) . En réponse au journal So, you wanna be a sysadmin ? (Trolldi inside). Évalué à 2.
Au cas où tu n'as pas suivi : je parlais que les admins trouvent parfois autant d'excuses bidons que les utilisateurs qu'ils critiquent comme ayant des excuses bidons.
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à -10.
C'est quand même utile pour vérifier que le noyau est sûr.
Qui dit que c'est mieux? Toi? Est-ce obligatoire? Ou est la liberté?
Pourquoi?
C'est libre, tout le monde peut faire le boulot, si ce n'estp as fait c'est que pas foule du côté des développeurs Linux n'est vraiment interessé par son travail (il s'est déjà fait jeté), donc bon c'est dans les deux sens…
1/ Ca montre qu'il y un problème, et peut-être ça bouge le cul des dév'.
2/ C'est mieux que de publier le code source en 0-day. Ca sera sans doute patché par grsecurity, libre à chacun ensuite de savoir ce qu'il veut.
Sans doute.
Mais pour contre-balancer ton commentaire qui laisse un arrière-gout de négatif, je trouve ça au pire neutre, au pire pas mal, ça fait de la compétition avec quelque chose de différent que la pensée majorité des dév' Linux, et n'importe qui peut reprendre et améliorer ses modifs (vive le libre).
[^] # Re: Bitcoin est un produit financier
Posté par Zenitram (site web personnel) . En réponse au journal De la pyramide de ponzi à la monnaie standard. Évalué à 0. Dernière modification le 01 avril 2014 à 14:55.
Ca OK. Mais je ne vois pas le rapport avec Bitcoin qui a reçu pas mal de regards rationels dessus.
Ou alors ils ont regardé les conséquences, et ceux qui adorent bitcoin traitent les autres d'aveugles plutôt que de regarder, c'est plus confortable.
Par rapport aux humains qui n sont pas rationels, en fait je vois un rapport : en effet, il y a des humains qui aiment Bitcoin contre toute rationalité.
Mais bon, les explications ont déjà été données 36x, les arguments pro-Bitcoin démontés autant de foix, on ne va pas revenir dessus, cf autres journaux.
[^] # Re: Sauvegarde dans un endroit sur
Posté par Zenitram (site web personnel) . En réponse au journal World Backup Day. Évalué à 1.
Mais la une fois ça peut passer, je ne parlias pas de cette partie.
De nos jours, avoir 1 Mbps en upload n'est pas inhabituel, ça fait 10 Go par jour soit 3 To/an.
Faut avoir de sacrés besoins de backup pour aller plus loin
On revient dans le cas exceptionnel (comme l'init), moins dérangeant, pas le soucis.
Ce dont je parle, c'est du quotidien : non, au quotidien sa solution n'en est pas une car ce n'est pas un robot.
Ce qui est encore pas trop mal, c'est sûr qu'après si on veut pas y mettre de sous…
Avec un gros avertissement : se mettre un réveil tous les x jours et s'y tenir. Désolé de ne pas croire dans l'être humain, sans doute l'expérience ;-)
Oui, il y a un équilibre à trouver, je rappelle juste que dans 99% des cas, le choix du offline fait qu'en pratique au bout de quelques temps c'est comme si il n'y a plus de backups ou il faut se faire violence, à mettre aussi dans la balance, à prévenir quand on parle de ce genre de solution ce qui n'a pas été fait (on a l'impression que c'est une solution pas mal en lisant). Je préviens, après libre à voir de croire que vous serez différents de tous les autres qui ont fait ça.
[^] # Re: Sauvegarde dans un endroit sur
Posté par Zenitram (site web personnel) . En réponse au journal World Backup Day. Évalué à -1.
Meilleur moyen pour ne jamais faire de sauvegarde.
Un moyen de sauvegarde n'est utile que si utilisé, et un moyen manuel est utilisé quelque fois puis flemme.
[^] # Re: Et si c'était l'outil fourni qui était mauvais?
Posté par Zenitram (site web personnel) . En réponse au journal So, you wanna be a sysadmin ? (Trolldi inside). Évalué à -1.
donc il ne détecte pas les mots de passe trop proches.
Ha… Donc c'est quoi pour toi "trop proche"? Aucune variation ce n'est pas trop proche, c'est identique!
Il a dit "trop proche", pas "les derniers mots de passe".
Désolé on a parlé de ce qu'il a parlé et non pas un hors sujet genre le truc classique, on connait des x derniers mots de passe dont il n'y a rien à dire car c'est hyper classique (pourquoi alors tu nous invite à regarder le code source d'un truc super classique?)
Pour du libre, oui, pas pour des outils dont on n'a pas le code source (c'est évident, mais tu semble l'oublier en parlant de "pas très difficile" : si, ça l'est pour la plupart des logiciels gérant des mots de passe)
[^] # Re: Un niveau plus haut
Posté par Zenitram (site web personnel) . En réponse au journal So, you wanna be a sysadmin ? (Trolldi inside). Évalué à 2. Dernière modification le 29 mars 2014 à 12:13.
Je ne sais pas ce que j'ai fumé hier pour ajouter 10 à 2002.